Mit dem KRITIS-Dachgesetz setzt Deutschland die europäische CER-Richtlinie (EU 2022/2557) um (wir berichteten). Ziel ist es, die kritischen Einrichtungen gegenüber physischen, organisatorischen und hybriden Bedrohungen resilienter zu machen. Während die NIS-2-Umsetzung primär die Cybersicherheit adressiert, soll das KRITIS-Dachgesetz einen sektorübergreifenden Rahmen für physische und organisatorische Resilienz schaffen.

Nach mehreren Entwurfsfassungen befindet sich das Gesetz nun in der parlamentarischen Beratung (vgl. Handelsblatt). Am 29. Januar 2026 ist eine weitere Lesung im Bundestag¹ vorgesehen, in der insbesondere Änderungen und Kritikpunkte am aktuellen Entwurfsstand diskutiert werden sollen. Eine Verabschiedung des Gesetzes gilt als wahrscheinlich, sofern keine grundlegenden Nachbesserungen mehr erfolgen.

Kernansatz des Regierungsentwurfs

Der aktuelle Entwurf sieht u. a. vor:

  • die Identifikation kritischer Anlagen anhand sektorspezifischer Kriterien,
  • verpflichtende Risikoanalysen und Resilienzmaßnahmen,
  • Registrierungs- und Meldepflichten bei erheblichen Störungen,
  • ein Sanktionsregime bei Pflichtverletzungen sowie
  • eine stärkere Rolle staatlicher Stellen bei nationaler Risikoanalyse und Koordinierung.

Damit wird formal ein Rahmen geschaffen, der die CER-Richtlinie in deutsches Recht überführt. In der praktischen Ausgestaltung bleiben jedoch zahlreiche Details offen und werden in nachgelagerte Rechtsakte oder Verwaltungsvorgaben verlagert.

Neu – und kritisch im Hinblick föderaler Zerfaserung zu betrachten – ist u. a., dass die Länder künftig über Schwellenwerte bestimmen sollen und kein bundesweiter Schwellenwert von 500.000 versorgten Menschen mehr gelten solle. Für Betreiber kritischer Anlagen, die durch die Länder registriert wurden, gelten sodann ggf. andere Nachweispflichten.

Auch der stellvertretende BDI-Hauptgeschäftsführer Holger Lösch bewertet den aktuellen Entwurf des KRITIS-Dachgesetzes kritisch: Er werde der realen Bedrohungslage nicht gerecht, indem statt eines klaren und wirksamen Schutzrahmens auf zusätzliche Regulierung und ein überhastetes Verfahren mit einer zu kurzen Einbeziehung von Experten gesetzt werde. Ein Phänomen übrigens, das bereits in der Vergangenheit in Bezugnahme auf jüngere Cybergesetzgebungen kritisiert worden ist (wir berichteten).

Kritik am aktuellen Entwurf – die Perspektive der AG KRITIS

Mit seiner Kritik ist der BDI-Hauptgeschäftsführer nicht allein. Insbesondere Fachverbände wie die Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS) üben deutliche Kritik am aktuellen Gesetzentwurf. Nach Auffassung der AG KRITIS bleibt der Entwurf sowohl in seiner Zielsetzung als auch in seiner regulatorischen Tiefe deutlich hinter den Anforderungen der CER-Richtlinie zurück. Während die EU-Vorgaben ausdrücklich eine ganzheitliche Absicherung gegen hybride, physische und organisatorische Bedrohungen fordern, beschränke sich der deutsche Ansatz bislang weitgehend auf formale Mindestanforderungen.

Ein zentraler Kritikpunkt ist die begrenzte Reichweite des Anwendungsbereichs. Große Teile der öffentlichen Verwaltung bleiben nach aktuellem Stand außen vor, obwohl staatliche Einrichtungen integraler Bestandteil kritischer Versorgungs- und Wertschöpfungsketten sind – dazu berichteten wir bereits. Aus Sicht der AG KRITIS entstehen dadurch strukturelle Schutzlücken, die gerade im Krisen- oder Spannungsfall sicherheitsrelevant sein können.

Auch das Sanktionsregime wird als unzureichend bewertet. Die vorgesehenen Bußgeldrahmen erscheinen – insbesondere für große Betreiber – nicht abschreckend genug, um eine echte Lenkungswirkung zu entfalten. In der Konsequenz bestehe die Gefahr, dass Resilienzmaßnahmen als Kostenfaktor behandelt und nicht als zwingender Bestandteil der Unternehmens- und Sicherheitsstrategie verstanden werden. Aktuell: Hier hat der Gesetzgeber bereits nachgebessert und die Sanktionshöhe auf eine Million Euro angehoben.

Darüber hinaus kritisiert die AG KRITIS den Gesetzgebungsprozess selbst: Trotz formeller Beteiligung von Fachkreisen seien zwischen den Entwurfsfassungen nur marginale Änderungen vorgenommen worden. Zentrale Hinweise aus Expert*innen-Stellungnahmen hätten bislang keinen erkennbaren Niederschlag im Gesetzestext gefunden.

Gegenüberstellung: Regierungsentwurf vs. Kritik / Forderungen

Eine Gegenüberstellung des Regierungsentwurfs zum KRITIS-Dachgesetz und der Kritikpunkte / Forderungen sehen Sie in der folgenden Tabelle.

Tabelle mit wichtigen Punkten aus dem Regierungsentwurf zum KRITIS-Dachgesetz und den jeweiligen Kritikpunkten und Anforderungen.
Tab.: Eigene Darstellung

Bewertung und Ausblick

Die anstehende Lesung im Bundestag am 29. Januar ist nicht nur ein formaler Schritt im Gesetzgebungsverfahren. Sie ist eine letzte realistische Gelegenheit, strukturelle Schwächen des KRITIS-Dachgesetzes zu adressieren und den Entwurf von einem administrativen Rahmenwerk zu einem wirksamen Instrument zur Stärkung der Resilienz kritischer Infrastrukturen weiterzuentwickeln.

Das KRITIS-Dachgesetz droht, die Resilienz kritischer Infrastrukturen eher zu verwalten als zu stärken – sofern der Gesetzgeber die vorgebrachte Fachkritik nicht ernsthaft aufgreift.

¹Update vom 29.01.2026

Dem Kabinettsentwurf des KRITIS-Dachgesetzes wurde in 2./3. Lesung im Bundestag zugestimmt. Das KRITIS-Dachgesetz ist damit am 29.01.2026 beschlossen worden.

Die inhaltliche Kritik in Form des Antrags der Grünen, die der Ansicht diverser Sachverständiger folgt, wurde indes abgelehnt. Hier muss die nahe Zukunft zeigen, inwieweit das KRITIS-Dachgesetz in der gelebten Praxis den Schutz kritischer Infrastrukturen voranzubringen vermag – gerade die Ausklammerung weiter Teile der öffentlichen Verwaltung dürfte hier eine empfindliche Einschränkung der Wirksamkeit bedeuten.

| | | , , , , , , , , , ,